Riesgos a los que se exponen las empresas




                                       Marcelo Gimenez
                     ...
Recuerdan cuando…


     •La seguridad significó tener a alguien que podría colocar una regla en un firewall.

     •El of...
Escenario actual

Las nuevas tecnologías y procesos cambian el escenario de las redes
internas.
             Incremento ex...
Escenario actual




                                           Internet       Sasser
                                    ...
Escenario actual




                    Internet



      Ataques distribuídos
                                       Spa...
Escenario actual




                    Internet



                        VPN
                 Remotos               Re...
Escenario actual




                   Ingeniería Social   Phishing & Pharming




                   Considerando       ...
Escenario actual




                  Estándares Propios       Normas y
                                          Regulac...
Nuevos Objetivos




© 2007 Global Crossing - Proprietary                      9
Recuerdan cuando?
                                                               Año 2003 / 04


              La infecci...
Un cambio de foco en los Hackers



                                                          Malware




                ...
Un cambio de foco en los Hackers


  Worm Gimmiv - RPC in Server Services (23-10-08)

Dos días después se creo un gusano q...
Un cambio de foco en los Hackers



        Grayware




      Spyware
   (no malicioso)



  Grayware:
  Software que ide...
Algunas cifras


   En nuestro Security Operation Center (SOC),
   detectamos un promedio de 131.000 eventos
   diarios de...
Algunas cifras


                                 Q TOTAL         Q SPAM    Q HAM      Q VIRUS   S TOTAL   S SPAM     S HA...
Algunas cifras

  Se procesan un promedio de 30 denuncias al mes de casos de
  Phishing.


  Hemos recibido un reporte ext...
Algunas cifras

  Se alertan a un promedio de 20 clientes al mes, indicándoles
  violaciones al derecho de autor (Copyrigh...
Nuevas Amenazas




© 2007 Global Crossing - Proprietary                     18
Nuevas amenazas

  Drive by Pharming


   Es la evolución de la técnica de Pharming tradicional.
   Su objetivo es el us...
Nuevas amenazas

  Juegos On line


   Se estima que el 54% de los archivos referidos a videojuegos en
    redes P2P, est...
Nuevas amenazas

  Web legitimas pero maliciosas


   Cada vez son mas los sitios Web, que son infectados con
    propósi...
DEFCON




© 2007 Global Crossing - Proprietary            22
Defcon 15

                                       1000
                                       personas
                   ...
Defcon 15


                                       4 Salas de
                                       Hacking




© 2007 Gl...
Defcon 15




© 2007 Global Crossing - Proprietary   25
Defcon 15




© 2007 Global Crossing - Proprietary   26
Defcon 15 (Novedades)

DDOS Bot by Cyber Underground Project
PINCH 2.99 (Troyanos)

      Controla maquinas zombis a trav...
Defcon 15 (Novedades)

 DDOS y SPAM Services


  Ofrecen un servicio de denegación de servicio
   distribuida (DDOS) y de...
El Mundo Underground




© 2007 Global Crossing - Proprietary                          29
Conociendo al Enemigo

                                       White Hat: Individuos que poseen los mismos
                ...
Conociendo al Enemigo

      Motivaciones
Curiosidad y desafío

Entretenimiento

Intereses políticos

Deseo de informa...
Conociendo al Enemigo




© 2007 Global Crossing - Proprietary   32
Conociendo al Enemigo




                                       Sus codigos…
                                       War C...
Conociendo al Enemigo




© 2007 Global Crossing - Proprietary   34
Conociendo al Enemigo




© 2007 Global Crossing - Proprietary   35
Recomendaciones




© 2007 Global Crossing - Proprietary                     36
The Human Firewall – an invaluable tool

     Un buen “human firewall employee” es aquel que aplica las buenas
     practi...
Pasado     En la actualidad

                                        Reactivo    Flexible, Proactivo

                    ...
No toda la amenaza tiene la misma
apariencia…




© 2007 Global Crossing - Proprietary   39
Considerar que la amenaza puede estar
muy cerca de uno...




© 2007 Global Crossing - Proprietary    40
Gracias!




© 2007 Global Crossing - Proprietary
Upcoming SlideShare
Loading in...5
×

Riesgos a los que se exponen las empresas y cómo evitar las consecuencias, por Marcelo Giménez

2,733
-1

Published on

Presentación de Marcelo Gimenez en el Foro Global Crossing de tecnología y negocios, argentina, 2008

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
2,733
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
29
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Riesgos a los que se exponen las empresas y cómo evitar las consecuencias, por Marcelo Giménez

  1. 1. Riesgos a los que se exponen las empresas Marcelo Gimenez Regional Technology and Operations Security Manager © 2007 Global Crossing - Proprietary
  2. 2. Recuerdan cuando… •La seguridad significó tener a alguien que podría colocar una regla en un firewall. •El oficial de seguridad era la persona en el escritorio de la entrada. •Los sistemas de detección de intrusos controlaban el perímetro. •Uno podía abrir sin dudar todos los E-mail. •El intruso era solamente desconocido. Esos días terminaron… © 2007 Global Crossing - Proprietary 2
  3. 3. Escenario actual Las nuevas tecnologías y procesos cambian el escenario de las redes internas. Incremento exponencial de tecnología móvil: notebooks, pdas, nueva generación de celulares, etc Automatización de procesos y adecuaciones a normas internacionales Asimismo, la evolución de las aplicaciones como la diversidad de accesos, dificulta la aplicación de controles. Servicios tradicionales: telefonía IP, crm, optimización de protocolos, nuevas interfaces, etc Accesos inalámbricos. La alta rotación del personal expone ampliamente al sector de IT, capacitar, concientizar y lograr la productividad del nuevo personal es costoso. © 2007 Global Crossing - Proprietary 3
  4. 4. Escenario actual Internet Sasser Blaster Slammer Contagio Tecnología de Virus Vulnerabilidades Ataques de Layer 7 “mutante” De menor Mayor elaboración complejidad y costo de control © 2007 Global Crossing - Proprietary 4
  5. 5. Escenario actual Internet Ataques distribuídos Spam Zombie & BotNets DDOS Colapsando Identificando los sistemas hábitos y contenido © 2007 Global Crossing - Proprietary 5
  6. 6. Escenario actual Internet VPN Remotos Redes de Terceros Accesos Inalámbricos Site to Site Necesitando Necesitando solo acceso físico una señal © 2007 Global Crossing - Proprietary 6
  7. 7. Escenario actual Ingeniería Social Phishing & Pharming Considerando Perfeccionando las técnicas manuales técnicas mediante el uso de recursos de red © 2007 Global Crossing - Proprietary 7
  8. 8. Escenario actual Estándares Propios Normas y Regulaciones Definiendo Utilizando las normas y metodologías regulaciones requeridas © 2007 Global Crossing - Proprietary 8
  9. 9. Nuevos Objetivos © 2007 Global Crossing - Proprietary 9
  10. 10. Recuerdan cuando? Año 2003 / 04  La infección se duplicaba cada 7 segundos.  Infectan a más de 80.000 hosts en los primeros 10 minutos.  Causan perdidas millonarias a nivel mundial por DoS de aplicaciones, DoS de redes, cancelación de vuelos, fallas en “Cajeros automáticos”, etc. Minutos después del lanzamiento 11 © 2007 Global Crossing - Proprietary 8 6 10
  11. 11. Un cambio de foco en los Hackers Malware Troyanos Virus Phishing Spyware Troyanos Gusanos Pharming Backdoor Zombies / Botnets Hoy, la estrategia es desarrollar código que pase desapercibido, con el fin de capturar información confidencial. (ataques dirigidos) © 2007 Global Crossing - Proprietary 11
  12. 12. Un cambio de foco en los Hackers Worm Gimmiv - RPC in Server Services (23-10-08) Dos días después se creo un gusano que aprovechaba la vulnerabilidad para infectar sistemas. El ejecutable es detectado como Win32/Gimmiv.A, registra una DLL (%SystemDir%wbemsysmgr.dll) en el sistema con el nombre “System Maintenance Service” y lanza procesos BAT para terminar con el antivirus que se encuentre residente en ese momento. Luego de ello, verifica la conexión a Internet del usuario, realizando una conexión a servidores de Google y si dicha conexión existe, continúa la infección. A partir de este momento comienza a enviar información a su creador sobre el sistema operativo y el antivirus instalado. El propósito final de Gimmiv es dar acceso al sistema infectado, enviando al atacante cualquier tipo de información que se considere relevante del sistema, como ser: •Usuarios y contraseñas de Microsoft Live Mesenger (MSN) •Usuarios y contraseñas de Microsoft Outlook Express •Contraseñas almacenadas en Microsoft Internet Explorer •Cookies y otros métodos de autenticación •Archivos deseados por el atacante © 2007 Global Crossing - Proprietary 12
  13. 13. Un cambio de foco en los Hackers Grayware Spyware (no malicioso) Grayware: Software que identifica los hábitos del usuario, puede determinar características relevantes del sujeto, como hábitos, gustos, etc. (Es una excelente técnica de Ingeniería Social). El problema se presenta cuando un sitio web legitimo se convierte en un sitio malicioso, producto de la falta de medidas de seguridad, o cuando se compromete la computadora del usuario. © 2007 Global Crossing - Proprietary 13
  14. 14. Algunas cifras En nuestro Security Operation Center (SOC), detectamos un promedio de 131.000 eventos diarios de prioridad Alta y 76.000 de prioridad Media, en los IPS s instalados en la región. A esto se le suman los 276.000 Spam diarios detectados. 12000000 10000000 8000000 High 6000000 Medium Low 4000000 2000000 0 High Medium Low © 2007 Global Crossing - Proprietary 14
  15. 15. Algunas cifras Q TOTAL Q SPAM Q HAM Q VIRUS S TOTAL S SPAM S HAM S VIRUS 2007-11-00 1.501.000 895.428 605.572 4.685 130,88 8,52 122,36 0,3 2007-12-00 6.600.218 4.342.259 2.257.959 16.307 478,54 32,98 445,55 1 2008-01-00 8.638.567 6.049.989 2.588.578 19.596 556,22 44,34 511,88 1,23 2008-02-00 10.772.575 7.930.638 2.841.937 17.950 653,6 44,45 609,15 1,26 2008-03-00 13.400.244 9.958.116 3.442.128 8.999 797,07 52,.50 744,57 0,73 14.000.000 12.000.000 10.000.000 8.000.000 6.000.000 4.000.000 Q VIRUS 2.000.000 Q HAM 0 Q SPAM © 2007 Global Crossing - Proprietary 15
  16. 16. Algunas cifras Se procesan un promedio de 30 denuncias al mes de casos de Phishing. Hemos recibido un reporte externo referente a eventos de phishing, asociado al IP:200.xx.xx146 y el sitio web alojado en el mismo: La URL detectada que presenta el problema es: http://secretariadepueblos.gov.ec/joomla/media/rbs.co.uk/Login.htm A la fecha de nuestros chequeos [14/Mar/2008 - 12:05 ARTS ], la URL está activa. Hemos recibido un reporte externo referente a eventos de phishing, asociado al IP:200.xx.xx.62 y el sitio web alojado en el mismo: La URL detectada que presenta el problema es: http://mail.trenurbano.gob.pe/santillana/.cgi-bin/ A la fecha de nuestro chequeo [03/Feb/2008 - 11:00 ARTS ], la URL está activa y alojando contenido malicioso que se esta utilizando para cometer ataques de phishing. © 2007 Global Crossing - Proprietary 16
  17. 17. Algunas cifras Se alertan a un promedio de 20 clientes al mes, indicándoles violaciones al derecho de autor (Copyright) Title: FIFA Infringement Source: BitTorrent Infringement Timestamp: 22 Sep 2008 02:08:11 GMT Infringement Last Documented: 22 Sep 2008 02:08:11 GMT Infringer Username: Infringing Filename: FIFA 08 [Spanish][PS2DVD][WwW.GamesTorrents.CoM] Infringing Filesize: 2189075098 Infringer IP Address: 200.xx.xx.200 Infringer DNS Name: Infringing URL: http://tk.comicat.com:80/announce The unauthorized copies of game product are listed and/or identified thereon by their titles or variations thereof, game-related listings/references/descriptions, or depictions of game-related artwork. Such copies, titles, game-related listings/references/descriptions, depictions, and material that is the subject of infringing activities are hereinafter referred to as "Infringing Material.ââ'¬Â• Given this infringing activity by 200.xx.xx.200, the ESA urges Global Crossing - Argentina to cooperate with its efforts to protect the intellectual property rights of its members companies and immediately do the following: © 2007 Global Crossing - Proprietary 17
  18. 18. Nuevas Amenazas © 2007 Global Crossing - Proprietary 18
  19. 19. Nuevas amenazas Drive by Pharming  Es la evolución de la técnica de Pharming tradicional.  Su objetivo es el usuario de banda ancha (Adsl, Cable, etc).  Consiste en aprovechar las vulnerabilidades de algunos routers, modificando los parámetros de DNS, por un DNS del atacante.  A partir de ese momento, la resolución de nombres la realiza el DNS del atacante, logrado derivar al usuario a sitios modificados con el fin de capturar información confidencial. © 2007 Global Crossing - Proprietary 19
  20. 20. Nuevas amenazas Juegos On line  Se estima que el 54% de los archivos referidos a videojuegos en redes P2P, están troyanizados.  Se analizaron 1000 muestras en sitios y en redes P2P de los 30 videojuegos mas populares, se constató que 528 contenían algún tipo de malware.  Generalmente las PC´s que utilizan los usuarios de videojuegos, tienen un alto nivel de procesamiento, por lo cual son “ideales” para los operadores de las redes BOTNET. © 2007 Global Crossing - Proprietary 20
  21. 21. Nuevas amenazas Web legitimas pero maliciosas  Cada vez son mas los sitios Web, que son infectados con propósitos dañinos.  Los visitantes se convierten en victimas sin conocimiento que forman parte de una red informática de los atacantes.  Las redes sociales, se esta convirtiendo en una moda peligrosa.  My Space  Foto Blogs  Second Life © 2007 Global Crossing - Proprietary 21
  22. 22. DEFCON © 2007 Global Crossing - Proprietary 22
  23. 23. Defcon 15 1000 personas por salón 5 salones © 2007 Global Crossing - Proprietary 23
  24. 24. Defcon 15 4 Salas de Hacking © 2007 Global Crossing - Proprietary 24
  25. 25. Defcon 15 © 2007 Global Crossing - Proprietary 25
  26. 26. Defcon 15 © 2007 Global Crossing - Proprietary 26
  27. 27. Defcon 15 (Novedades) DDOS Bot by Cyber Underground Project PINCH 2.99 (Troyanos)  Controla maquinas zombis a través de WEB e IRC.  Usa múltiples técnicas de penetración (SYN, ICMP, UDP, HTTP GET FLOODING, ETC).  Se vende por U$ 300, pero hay en la red viejas versiones gratis.  Con la versión paga garantizan que no es detectado por los AV © 2007 Global Crossing - Proprietary 27
  28. 28. Defcon 15 (Novedades) DDOS y SPAM Services  Ofrecen un servicio de denegación de servicio distribuida (DDOS) y de Spam.  Mayormente es generado desde Rusia y Asia.  Solo hay que definir el objetivo y ellos proporcionan la técnica y la infraestructura para hacerlo.  El costo es:  1 hs de DDOS o SPAM es de U$ 50  24 hs de DDOS o SPAM es de U$ 200 © 2007 Global Crossing - Proprietary 28
  29. 29. El Mundo Underground © 2007 Global Crossing - Proprietary 29
  30. 30. Conociendo al Enemigo White Hat: Individuos que poseen los mismos conocimientos que un black hat pero utilizados para propósitos defensivos. También conocidos como Analistas de Seguridad Grey Hat: Individuos que trabajan tanto para propósitos defensivos como ofensivos. Carecen de ética. “Mercenarios” Black Hat: Individuos con conocimientos extraordinarios de computación realizando actividades maliciosas o destructivas. También conocidos como CRACKERS Trabajan organizados y en grupos…. Y no duermen. © 2007 Global Crossing - Proprietary 30
  31. 31. Conociendo al Enemigo Motivaciones Curiosidad y desafío Entretenimiento Intereses políticos Deseo de información Emoción de obtener privilegios de acceso Usarlo como trofeo para obtener “status” en el ambiente Esos días terminaron… © 2007 Global Crossing - Proprietary 31
  32. 32. Conociendo al Enemigo © 2007 Global Crossing - Proprietary 32
  33. 33. Conociendo al Enemigo Sus codigos… War Chokers, Drivers, Walkers y otros © 2007 Global Crossing - Proprietary 33
  34. 34. Conociendo al Enemigo © 2007 Global Crossing - Proprietary 34
  35. 35. Conociendo al Enemigo © 2007 Global Crossing - Proprietary 35
  36. 36. Recomendaciones © 2007 Global Crossing - Proprietary 36
  37. 37. The Human Firewall – an invaluable tool Un buen “human firewall employee” es aquel que aplica las buenas practicas de seguridad y descarta las malas. La única manera de construir un buen “human firewall”, es conducirlo al uso de los buenos hábitos, al uso de ética y al compromiso por medio de la concientización. Capacitación Compromiso y Concientización © 2007 Global Crossing - Proprietary 37
  38. 38. Pasado En la actualidad Reactivo Flexible, Proactivo Standalone Múltiples capas Análisis realizados a Análisis realizados través de software por profesionales Transporte Contenido Foco en la tecnologia Foco en los procesos Estándares propios Normas y regulaciones internacionales Amenazas Externas Externas, Internas, Redes 3° © 2007 Global Crossing - Proprietary 38
  39. 39. No toda la amenaza tiene la misma apariencia… © 2007 Global Crossing - Proprietary 39
  40. 40. Considerar que la amenaza puede estar muy cerca de uno... © 2007 Global Crossing - Proprietary 40
  41. 41. Gracias! © 2007 Global Crossing - Proprietary
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×